A Çin destekli tehdit grubu Asya’daki kuruluşları siber casusluk kampanyalarıyla hedef alan siber saldırgan, yeni kötü amaçlı yazılımlar ve LoL tekniklerini kullanarak saldırılar düzenleyerek Avrupa, Orta Doğu ve Afrika (EMEA) da dahil olmak üzere yeni coğrafyalara ulaşmaya başlıyor.
Earth Baku, bununla ilişkili bir başka yan gruptur son derece üretken APT41Trend Micro araştırmacılarına göre, saldırgan son zamanlarda İtalya, Almanya, Birleşik Arap Emirlikleri (BAE) ve Katar’daki kuruluşları hedef alıyor ve Gürcistan ve Romanya’da bulunan komuta ve kontrol (C2) altyapısını kullanıyor.
Bölgesel değişim, en az 2012’den beri aktif olarak izlenen ve tipik olarak Asya-Pasifik bölgesini hedef alan APT41 gelişmiş kalıcı tehdit aktörü için yakın zamanda yapılan bir strateji değişikliğini temsil ediyor. son blog yazısı Trend Micro araştırmacıları Ted Lee ve Theo Chen tarafından. Aslında, Mandiant da yakın zamanda APT41’in sürekli bir siber casusluk kampanyası Birleşik Krallık ve Avrupa’daki birçok sektördeki kuruluşlara karşı ve ayrıca tipik olarak faaliyet gösterdiği başlıca ülkelerden biri olan Tayvan’a karşı.
Yeni bölgelerdeki diğer son saldırılarda da aktörün kötü amaçlı yazılımlarını ve taktiklerini çeşitlendirdiği görülüyor; ilk erişim için IIS sunucuları gibi halka açık uygulamaları kullanıyor ve Godzilla web kabuğu Trend Micro’ya göre kalıcılık ve komuta ve kontrol (C2) için. APT41’in en son modüler arka kapısı olan SneakCross’u sunmak için kampanyada kullanılan StealthVector ve StealthReacher gibi diğer yükleyiciler, Earth Baku’nun tespitten kaçınmak için yeteneklerini güçlendirdiğini gösteriyor, araştırmacılar kaydetti.
Earth Baku ayrıca grubun hem özel hem de kamuya açık araçları bir araya getirdiğini gösteren birkaç yeni sömürü sonrası aracı da kullanıyor — bunlar arasında şunlar yer alıyor: Rakshasa donanım arka kapısıAraştırmacılar, kalıcılık için TailScale ve verimli veri sızdırma için MEGAcmd’yi kullanarak grubun çalınan büyük hacimli verileri daha verimli bir şekilde taşıyabildiğini gözlemlediler.
Tüm bunların anlamı, APT41’in yalnızca bir başka alt grup Yazıda, “kirli işlerini yapıyor, ancak aynı zamanda siber güvenlik savunmaları için önemli zorluklar yaratabilecek, gelişen ve giderek daha karmaşık bir tehdit profiline sahip” ifadeleri yer aldı.
APT41 Araçlarını ve Taktiklerini Geliştirmek
Tehlikeli bir durum için şemsiye tanımlayıcı olarak APT41 Çin tehdit gruplarının kolektifi — Winnti, Wicked Panda, Barium ve Suckfly olarak da adlandırılan — Çin hükümeti adına dünyadaki ABD kuruluşları ve kuruluşlarından ticari sırları, fikri mülkiyeti, sağlık hizmetleriyle ilgili verileri ve diğer hassas bilgileri çalan şirketler. Dört yıl önce, ABD hükümeti APT41’in beş üyesini suçladı dünya çapında 100’den fazla şirkete yönelik saldırılarla ilgili faaliyetler için. Yine de grup, Earth Baku gibi yan kuruluşları sayesinde faaliyetlerini yeni araçlar ve taktiklerle taze tutan oldukça aktif olmaya devam ediyor.
Trend Micro, StealthVector dahil olmak üzere yeni taktikler ve araçlar hakkında bilgi toplayan EMEA’daki bir dizi son saldırıda Earth Baku’yu takip etti. Araştırmacılar, kötü amaçlı yazılımın grubun gizli modda daha fazla ikili dosya başlatmak için kullandığı özelleştirilmiş bir arka kapı yükleyicisi olduğunu; ayrıca daha önce 2021’de keşfedilen bir yazılımın güncellemesi olduğunu belirtti.
“Yapılandırma yapısı açısından çok az değişmiş olsa da, artık özelleştirilmiş ChaCha20 yerine şifreleme algoritması olarak AES kullanıyor,” diye yazdılar. “Bazı varyantlarda, kod karartma için bir kod sanallaştırıcının kullanıldığını da gözlemledik, bu da kötü amaçlı yazılımın analizini daha zor hale getiriyor. Ayrıca, arka kapı bileşenlerinin gizlice yürütüldüğünden emin olmak için diğer savunma kaçınma tekniklerini de devraldı.”
Trend Micro ayrıca, C2 iletişimi için Google hizmetlerini kullanan modüler bir arka kapı olan SneakCross adlı başka bir kötü amaçlı yazılımı da ortaya çıkardı. Windows Fibers tespit edilmekten kaçınmak için ağ koruma ürünleri ve uç nokta algılama ve yanıt (EDR) çözümlerinden. Kötü amaçlı yazılım muhtemelen APT41’in önceki modüler arka kapısı ScrambleCross’un halefidir; araştırmacılar, modülerliğin saldırganın “yeteneklerini kolayca güncellemesine, davranışını değiştirmesine ve farklı senaryolar için işlevselliği özelleştirmesine” olanak sağladığını yazdı.
Son Earth Baku saldırılarında dikkat çeken bir diğer husus ise, kalıcılığı sürdürmek, ayrıcalıkları ölçeklendirmek ve verilerin keşfedilmesine ve dışarı sızdırılmasına olanak sağlamak için bir dizi ek araç kullanan istismar sonrası faaliyetlerdir.
Ortamları Karmaşık APT’lerden Koruma
APT41, daha fazla karmaşıklık ve çeviklik için araçlarını ve taktiklerini güçlendirmeye devam ederken, Trend Micro, kuruluşların savunmalarını da güçlendirmelerini ve şu ilkeyi kullanmalarını öneriyor: en az ayrıcalık hassas verilere erişimi kısıtlamak ve kullanıcı izinlerini yakından izlemek. Araştırmacılar, bunun saldırganların kurumsal bir ağ içinde yatay olarak hareket etmesini daha zor hale getireceğini belirtti.
Savunmacılar ayrıca sistemleri ve uygulamaları düzenli olarak güncellemeli, sistemlerindeki güvenlik açıklarını gidermek için sıkı yama yönetimi politikaları uygulamalı ve bir ihlal durumunda tehditleri belirlemek ve azaltmak için savunma önlemleri geliştirmelidir.
Araştırmacılar ayrıca, “3-2-1 yedekleme kuralı” adı verilen kuralı benimseyerek ve kurumsal verilerin en az üç kopyasını iki farklı formatta tutarak (aralarında şirket dışında saklanan hava boşluklu bir kopya da var), kuruluşların başarılı bir saldırı durumunda bile verilerin bozulmadan kalmasını sağlayabileceklerini söyledi.